Neapsaugotame serveryje buvo rasta 1,2 milijardo privačių duomenų įrašų

1.2 billion people affected by a data leak

Tie, kurie aktyviai domisi kibernetiniu saugumu, nebus labai nustebinti sužinoję, kad tyrėjai atskleidė atradę dar vieną plačiai atvertą serverį, kuriame buvo didžiulė asmeninės informacijos dalis. Šį kartą nuotėkio mastas visiškai pribloškia, tačiau dar labiau nuvilia tai, kad sužinosite, kas tiksliai atsitiko, pamatysite, koks neišvengiamas buvo šis įvykis.

Tyrėjai nesaugiame „Elasticsearch“ serveryje atranda 4 TB asmeninės informacijos

Spalio 16 d. Vinny Troia ir Bobas Diachenko suklupo ant „Elasticsearch“ serverio, kuris nebuvo apsaugotas slaptažodžiu ir buvo prieinamas visiems, kurie turėjo naršyklę ir žinojo, kur ieškoti. Šie du dalykai nėra naujiena. Tiesą sakant, Bobas Diachenko yra atsakingas už daugybės panašių nutekėjimų atskleidimą. Vis dėlto net jis buvo gana sukrėstas dėl paviešintų duomenų dydžio šiuo konkrečiu atveju.

Duomenų bazėje buvo didžiulė 4 TB, joje buvo didžiulės 4 milijardų sąskaitų. Dublikatų buvo nemažai, tačiau net juos pašalinę tyrėjai apžiūrėjo daugiau kaip 1,2 milijardo asmenų asmeninius įrašus. Indeksai duomenų bazėje nebuvo vienodi, o atskleidžiami duomenys įvairius įrašus skyrė. Apdoroję informaciją, ekspertai išsiaiškino, kad atvirame „Elasticsearch“ serveryje, be kita ko, buvo:

  • Daugiau nei 1 milijardas asmeninių el. Pašto adresų.
  • Daugiau nei 400 milijonų telefono numerių.
  • Daugiau nei 420 milijonų „LinkedIn“ URL.
  • Daugiau nei 1 milijardas „Facebook“ URL ir abonementų ID, taip pat kiti duomenys, susiję su vartotojų buvimu socialinėje žiniasklaidoje.

Duomenų bazėje nebuvo jokių kreditinių kortelių duomenų, socialinio draudimo numerių ar slaptažodžių, tačiau nukentėję asmenys vis tiek turėtų ieškoti asmens tapatybės vagystės ir sukčiavimo požymių. Diachenko ir „Troia“ pasidalino nutekėjusiais duomenimis su Troy Hunt, kuris juos įkėlė į įspėjimo apie pažeidimų duomenų bazę tarnybą Have I Been Pwned, o tai reiškia, kad galite ten nuvykti ir patikrinti, ar jus paveikė nuotėkis.

Nereikia nė sakyti, kad kai tik jie atrado informaciją, saugumo tyrinėtojai ėmėsi būtinų priemonių, kad ji būtų neprisijungusi. FTB buvo informuotas, tačiau prieš teisėsaugos institucijoms imantis veiksmų, duomenų bazę, matyt, panaikino jos savininkas. Neįmanoma pasakyti, kada duomenys pirmą kartą pasirodė „Elasticsearch“ serveryje ir kas juos pasiekė, kol buvo paviešinti.

Kas kaltas?

Kiekvienas duomenų bazės įrašas turėjo lauką, pažymėtą „šaltinis“, o vertė jame buvo „PDL“ arba „Oxy“. „PDL“ reiškia „People Data Labs“, o „Oxy“ - iš „Oxydata“. „People Data Labs“ ir „Oxydata“ yra dvi duomenų praturtinimo kompanijos, kurios rinko visus šiuos įrašus.

Duomenų praturtinimo įmonės verslas yra surinkti kuo daugiau viešai prieinamos informacijos apie jus ir sukurti išsamų profilį remiantis tuo, ką ji randa. Šis profilis kartu su milijonais kitų parduodamas visiems, norintiems sumokėti iš anksto nustatytą mokestį. „People Data Labs“ ir „Oxydata“ iš tikrųjų rinko informaciją. Vis dėlto tai nereiškia, kad jie tai nutekėjo.

Atradęs nutekėjimą, Vinny Troia pasidalino savo išvadomis su „Wired“ vadove Lily Hay Newman, kuri pranešė apie poveikį ir susisiekė su „People Data Labs“ bei „Oxydata“, norėdami paklausti, ką jie mano apie tai. Abi bendrovės pripažino, kad jos gali būti pagrindinis duomenų, įdėto į duomenų bazę, šaltinis, tačiau abi jos tvirtino, kad nepažeidė duomenų.

Tikėtina, kad „People Data Labs“ ir „Oxydata“ klientas sumokėjo už visą šią informaciją, sudėjo ją į vieną duomenų bazę ir paliko netinkamai sukonfigūruotame „Elasticsearch“ serveryje. Martynas Simanauskas, „Oxydata“ atstovas, „Wired“ pasakojo, kad jo įmonė su klientais yra sudariusi sutartis, kuriomis siekiama užtikrinti saugų duomenų tvarkymą. Tačiau net jis pripažino, kad kai klientas turi informacijos, daugiau ar mažiau nėra galimybių užkirsti kelią piktnaudžiavimui.

Tai buvo pagrindinis pokalbio taškas Troy Hunt tinklaraščio įraše, skirtame ekspozicijai. Deja, faktas yra tas, kad duomenų praturtinimo kompanijos, tokios kaip „People Data Labs“ ir „Oxydata“, toliau kaups mūsų asmeninę informaciją iš bet kur, kur ją galės rasti. Jie taip pat toliau jį pardavinės, o žmonės ir organizacijos, kurie už tai moka, neišvengiamai paliks jį bet kada ir tada. Nepaisant to, ar mums tai patinka, ar ne, mūsų duomenys yra renkami, tvarkomi ir kopijuojami daugybę kartų ir yra saugūs atjungiant eterneto kabelį ir vėl gyvenant kaip 1960 m., Daugiau ar mažiau nieko negalime padaryti. Atsižvelgiant į visa tai, faktas, kad šis konkretus nutekėjimas neįvyko greičiau, iš tikrųjų yra gana stebinantis.

November 27, 2019

Palikti atsakymą

SVARBU! Kad galėtumėte tęsti, turite išspręsti šią paprastą matematiką.
Please leave these two fields as is:
Kas yra 9 + 6?